Анонимность при сообщении о нарушениях
Анонимность для осведомителей
Самая опасная ошибка при сообщении о нарушениях — думать: «если я не назову имя, я анонимен».
Внутренние документы, права доступа, круг распространения, сведения об авторе, история редактирования, внутренняя терминология, время публикации, канал связи. Все это может стать материалом для сужения круга возможных осведомителей.
В ситуации сообщения о нарушениях другая сторона не обязательно является обычным читателем.
Могут быть люди, которые имеют возможность смотреть внутренние журналы организации, системы управления документами, историю электронной почты, записи входа и выхода, управление устройствами и права доступа. Нужно учитывать не только открытую информацию, но и возможность сопоставления с внутренними записями организации.
В этой статье разобрано, на что должен смотреть осведомитель, когда думает об анонимности.
В ситуациях, где нужна юридическая оценка или решение о безопасности, не решайте, как действовать, только на основе этой статьи. Важно использовать подходящий для ситуации канал консультации: юриста, трудовую консультацию, надежную редакцию, организацию поддержки и т. п.
При защите анонимности осведомителя у другой стороны больше возможностей
При обычной анонимной публикации другая сторона часто ищет открытую информацию или признаки в интернете.
При сообщении о нарушениях к этому добавляется информация изнутри организации.
Кто мог получить доступ к этому документу? Кто был на этом совещании? Кто работает в отделе, где используют это выражение? Кто работал с устройством в это время? Даже если такие сведения не видны внешним людям, внутри организации их иногда можно проверить.
| Сопоставляемая информация | Что можно понять |
|---|---|
| Круг распространения документа | Сужается круг людей, которые могли видеть материал |
| Журналы доступа | Иногда видно, кто и когда открыл документ |
| Внутренняя терминология | Можно предположить отдел, должность или проект |
| Сведения об авторе | Могут остаться устройство или аккаунт, создавшие файл |
| Время публикации | Сопоставляется с рабочим временем, перерывами и действиями после ухода с работы |
| Канал связи | Остаются журналы электронной почты, облака, соцсетей и устройств |
Для анонимности осведомителя важно не недооценивать возможности другой стороны.
«Снаружи этого не видно» не означает, что это не видно изнутри организации.
Не передавать оригинал как есть
При работе с внутренними документами отправка оригинала как есть создает большой риск.
В файлах Office, PDF, изображениях и скриншотах остается информация помимо основного текста. Это имя автора, история редактирования, комментарии, пути к файлам, названия шаблонов, время создания, сведения о печати, внутренние идентификаторы, водяные знаки, номера рассылки и т. п.
| Признак | Описание |
|---|---|
| Имя автора | В Office или PDF могут оставаться имя пользователя, название организации или имя устройства |
| История изменений | Может остаться, кто и какую часть редактировал |
| Комментарии | Видны рецензенты, названия отделов и внутренние разговоры |
| Имя файла | Может содержать название дела, имя ответственного, дату или учетный номер |
| Водяные знаки и идентификаторы | В индивидуально распространяемых материалах могут указывать на получателя |
| изображения | Могут остаться время съемки, устройство и GPS |
Перед публикацией или отправкой отделяют оригинал от рабочей копии.
Оригинал может потребоваться сохранить как доказательство. А в том, что передается внешней стороне, проверяют метаданные, специфические выражения, идентификаторы, имена файлов и видимые детали внутри изображений.
Однако в ситуациях, где важна доказательная ценность, неосторожная обработка может создать другую проблему.
При юридических процедурах, трудовых спорах, уголовных делах и серьезных сообщениях в общественных интересах уточняйте у специалиста, что обрабатывать и что сохранять как оригинал.
Выбрать безопасный канал приема
При сообщении о нарушениях очень важны получатель и путь отправки.
Если отправить материалы как есть в личный аккаунт соцсети, обычной электронной почтой, через облачный доступ, на анонимный форум и т. п., остаются журналы связи и сведения об аккаунте. Даже если получатель действует добросовестно, информация может утечь, если его процессы слабы.
Некоторые редакции и НКО имеют механизмы для приема анонимной информации.
SecureDrop — это система с открытым исходным кодом, с помощью которой редакции и НКО принимают анонимную информацию. Она спроектирована с расчетом на доступ через , снижение метаданных и зашифрованную отправку. Важно следовать инструкциям с официальной страницы организации, которая ее внедрила.
URL : https://securedrop.org/
GlobaLeaks — свободное программное обеспечение с открытым исходным кодом для создания платформ приема сообщений о нарушениях. Редакции, организации, государственные учреждения, компании и похожие структуры могут использовать его как механизм приема сообщений.
URL : https://globaleaks.org/
Tor Browser используют, чтобы сайту назначения было сложнее напрямую увидеть IP-адрес пользователя. В системах анонимной отправки, таких как SecureDrop, использование Tor может предполагаться.
URL : https://www.torproject.org/
Эти механизмы упоминаются потому, что они реально используются как каналы приема при сообщении о нарушениях.
Однако использование инструментов не означает, что анонимность стала полной. Доступ с рабочего устройства, поиск с аккаунта с настоящим именем, использование Wi-Fi компании, отправка оригинальных файлов как есть, неестественное поведение сразу после отправки. Такие ошибки ослабляют эффект инструментов.
Не переоценивать рабочие устройства и сети
При сообщении о нарушениях больше всего нужно избегать неосознанного использования устройств или сетей, которыми управляет организация.
На компьютерах компании или школы, рабочих смартфонах, внутреннем Wi-Fi, , устройствах под управлением MDM, почтовых аккаунтах и облачных хранилищах остаются журналы и управленческая информация.
| Среда | Остающаяся информация | Предостережение |
|---|---|---|
| Рабочий ПК | Вход, операции с файлами, печать, USB, история браузера | Администратор иногда может это проверить |
| Внутренний Wi-Fi | Подключенное устройство, время подключения, адрес назначения | Подключения к Tor или внешним сервисам могут выделяться |
| Рабочая почта | Отправка и получение, пересылка, вложения, история поиска | Позднее может быть проведен аудит |
| Облачное хранилище | История просмотра, совместного доступа и скачивания | Остается, кто и когда открывал |
| Принтер | Кто печатал, время, число копий, имя документа | Журналы могут оставаться даже для бумажных материалов |
Среда, управляемая организацией, не обязательно на вашей стороне.
Если думать об анонимности, устройства, каналы связи, аккаунты и работу с файлами разделяют. Насколько далеко их нужно разделять, зависит от масштаба риска.
При высоком риске следует следовать процедурам специалистов или надежных каналов приема.
По содержанию круг кандидатов сужается
Даже если метаданные удалены, круг кандидатов может сузиться по основному тексту.
Содержание внутреннего сообщения включает информацию, известную ограниченному кругу людей. Названия совещаний, отделов, даты и время, номера дел, формулировки документа, выражения причастных людей, обстоятельства на месте. Если это появляется как есть, начинается рассуждение: «кто мог иметь доступ к этой информации?»
| Признак в тексте | Почему круг кандидатов сужается | Подход к обработке |
|---|---|---|
| Дата и время совещания | Круг участников и читателей ограничен | Обобщить время в необходимой степени |
| Название отдела | Возможная принадлежность сужается | Подумать о степени детализации, нужной для общественного интереса |
| Внутренняя терминология | Видны конкретный отдел или проект | Заменить более общими выражениями |
| Номер документа | Сопоставляется с получателями и системами управления | До публикации решить, нужно ли скрывать |
| Тон и порядок объяснения | Проявляется профессия или положение автора | Дать прочитать третьему лицу и проверить корреляцию |
Однако если слишком сильно обобщить содержание, доверие к сообщению снизится.
Что скрыть и что оставить, зависит от цели. Общественный интерес, доказательная ценность, получатель материалов или журналистский контакт, юридические процедуры и безопасность нужно учитывать одновременно.
Здесь лучше консультироваться с надежным специалистом или редакцией, чем продолжать сомневаться в одиночку.
Итоги
В анонимности осведомителя нужно учитывать возможность того, что другая сторона видит внутренние журналы организации и сведения из системы управления документами.
Даже если не называть имя, круг кандидатов сужается по метаданным документа, сведениям об авторе, кругу распространения, истории доступа, внутренней терминологии, времени публикации и каналам связи.
Не отправляйте оригиналы как есть. Проверяйте информацию вне основного содержимого файла. Однако в ситуациях, где нужна доказательная ценность, не обрабатывайте материалы необдуманно, а консультируйтесь со специалистом.
Такие механизмы, как SecureDrop, GlobaLeaks и Tor Browser, используются для сообщений о нарушениях и анонимной передачи информации. Но одних инструментов недостаточно для безопасности. Нужно одновременно управлять корреляцией устройств, сетей, аккаунтов, файлов и поведения.
Сообщение о нарушениях связано с высоким риском.
Если требуется юридическая оценка или решение о безопасности, не действуйте в одиночку. Консультируйтесь с надежной редакцией, юристом, организацией поддержки или специалистом.
Связанные инструменты
ExifTool
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://exiftool.org/
MAT2
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
qpdf
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
SecureDrop
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://securedrop.org/
GlobaLeaks
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://globaleaks.org/